The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7, opennews (?), 16-Янв-21, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


12. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –3 +/
Сообщение от пох. (?), 16-Янв-21, 19:50 
просто клиент при копипасте со стека забыл удалить ненужное.

Ибо синтаксис г-но и эта простыня совершенно нечитаема даже при том что полезного не умеет ровно вот ничего (хоть ssh от сканов бы прикрыл). Ну ладно хоть icmp не зобанил, как у них принято. Хотя лишние тоже невредно бы и пофильтровать.

Теперь смотрим на не особо сложный гнороутер под столом - пяток сеток, две терминируются не на нем и нужно пробрасывать туннели через нат, пригоршня разных сервисов доступных в разных комбинациях с разных направлений (потому что незачем в сторону стораджа пускать виндовые машины, пусть и trusted сегмента, все равно им там делать нечего), прикидываем как ЭТА простыня в нескучном синтаксисе будет выглядеть и как будешь добавлять еще один хост через пол-года, когда уже подзабудешь что и зачем тут было... плюемся, идем узнавать, сколько стоит бу циско asa 5520. Ну оок - в штатах от 70, но если спалишься на таможне - отберут. В дефаултсити от 15000, краденые. В целом, и недорого. Одна даже с ssm, бесполезен без подписки, зато можно поиграться.

Потому что линyпсь - всьо даже в качестве гуанороутеров. Доломали и это.

Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –2 +/
Сообщение от СеменСеменыч777 (?), 16-Янв-21, 21:17 
все очень просто. нужен генератор правил типа firehol.
пусть он делает неоптимально, зато все понятно и не надо учить очередной собачий язык.

> незачем в сторону стораджа пускать виндовые машины, пусть и trusted сегмента, все равно им там делать нечего

проблемы "уровня приложения" решаем на "сетевом уровне" ? ай молодца казахский хакер.

ps: в цисках невозможен недорогой апгрейд. циски могут быть протроянены либо с завода, либо в "черном кабинете" перевозчика (например US Post). IOS для цисок пишут чурки^Wиндусы.

Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –2 +/
Сообщение от slepnoga (ok), 16-Янв-21, 21:35 
Сема, в asa линукса на бекплейне. ))
Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –2 +/
Сообщение от пох. (?), 16-Янв-21, 22:10 
они там используются для сугубо специфической цели - кое-как прочитать с флэшки единственный бинарник по имени asa. ВСЬО.

Ни сетевой стек, ни б-же упаси, фиревал от этого линукса не используется. Только фича чтения бинарника и привязки к адресам. А, планировщик тоже не используется, до недавнего времени этот бинарник был строго single thread, потом, правда, _ssl_vpn_ и только он стал многотредовым, догадайся, почему так. Ну а до того тот же самый бинарник им qnx загружал, просто помер тот дедуля, который умел его готовить.

У ssm10 - там полноценный линyпсь (то есть внутри асы есть еще одна железка с еще одним линyпсом) и в нем, собственно, что-то донельзя похожее на древние версии snort, но с совершенно другими и управлением, и особенностями работы. Главное, впрочем, сохранено - без коммерческой подписки на правила бесполезен феерично.

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от slepnoga (ok), 16-Янв-21, 23:04 
так я и написал - на бекплейне. Не Микроштык же.
Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от пох. (?), 16-Янв-21, 23:16 
> так я и написал - на бекплейне. Не Микроштык же.

Ну вон у ios-xr тоже типа на бэкплейне (кто бы понял где у этой штуки бэкплейн), но там вполне себе полноценный линукс, даже с rpm в 6ой серии. И оно реально и пачку демонов там держит, и еще хз что и сбоку бантик, и в шелл можно вывалиться, только непонятно что там делать, и даже top запустить (только еще меньше понятно для чего).

А тут просто лоадер, чтоб не трахаться, тот бинарник по физическим адресам вручную размещать.

Ответить | Правка | Наверх | Cообщить модератору

72. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Онаним (?), 17-Янв-21, 11:48 
В XR QNX на <6.0. Linux только в 6.0 появился. И не на бекплейне, а на RSP и процессорах плат.
У XE Linux на подложке, под ним в виртуалке крутится IOS.

Но насчёт ASA - нет, увы. Там именно что сетевой стек используется от линуксов, и файрволит тоже какой-то драйвер в них. Из железного - только акселерация VPN, всё остальное софт.

Ответить | Правка | Наверх | Cообщить модератору

84. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от пох. (?), 17-Янв-21, 13:22 
> Но насчёт ASA - нет, увы. Там именно что сетевой стек используется от линуксов

не используется. Я, в отличие от некоторых, запускал. Единственное, что там от того стека - интеловские драйвера сетевух, и то не факт что не патченные чтоб поменьше лезли куда не надо. А дальше байтики идут мимо штатных поделок.

Да, софт, только не лап4тый.

Твой линoops умеет при отказе подхватить траффик (_включая_ ipsec, и, разумеется, сохраняя состояния файрвола для открытых соединений) соседним ящиком прозрачно для окружающих?

А эта вот конструкция - умеет. Причем еще со времен pix где линyпсятиной и не пахло.


Ответить | Правка | Наверх | Cообщить модератору

110. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Онаним (?), 17-Янв-21, 18:25 
Состояние файрвола через мониторинг conntrackd я передавал, да, нужно костылять, но по факту работает.
Ответить | Правка | Наверх | Cообщить модератору

71. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Онаним (?), 17-Янв-21, 11:45 
ASA дерьмо, так-то. Всё тот же linux с нескучным синтаксисом конфига, в котором даже два IP на один интерфейс не повесить.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

94. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от crypt (ok), 17-Янв-21, 15:19 
> Ибо синтаксис г-но и эта простыня совершенно нечитаема ... Доломали и это.

ППКС:( индусские менеджеры из RH мля просто угробить линукс решили.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру